Adobe Commerce/Magento Open Source 多个漏洞 (APSB25-71)
high Nessus 插件 ID 261776
语言:
简介
远程主机上安装的 Adobe Commerce/Magento Open Source 实例受到多个漏洞影响。描述
远程主机上安装的 Adobe Commerce/Magento Open Source 版本因此受到公告 APSB25-71 中所述多个漏洞的影响。- Adobe Commerce 版本 2.4.9-alpha1、2.4.8-p1、2.4.7-p6、2.4.6-p11、2.4.5-p13、2.4.4-p14 及更早版本受到错误输入验证漏洞的影响可导致应用程序拒绝服务。攻击者可通过提供特制的输入利用此漏洞造成应用程序崩溃或不响应。若要利用此问题,并不需要用户交互。(CVE-2025-49554)
- Adobe Commerce 版本 2.4.9-alpha1、2.4.8-p1、2.4.7-p6、2.4.6-p11、2.4.5-p13、2.4.4-p14 及更早版本受到 跨站请求伪造的影响(CSRF) 漏洞从而导致权限升级。高权限的攻击者可诱骗受害者在已经过身份验证的 Web 应用程序上执行非预期操作从而可能允许未经授权的访问或修改敏感数据。利用此问题需要用户进行交互即受害者必须访问恶意网站或点击特制的链接。范围已更改。 (CVE-2025-49555)
- Adobe Commerce 版本 2.4.9-alpha1、2.4.8-p1、2.4.7-p6、2.4.6-p11、2.4.5-p13、2.4.4-p14 及更早版本受到存储的跨站脚本的影响(XSS) 漏洞低权限的攻击者可利用该漏洞在易受攻击的表单字段中注入恶意脚本。这些脚本可用于提升应用程序内的权限或危害敏感用户数据。利用此问题需要用户交互即受害者必须浏览到包含易受攻击字段的页面。范围已更改。 (CVE-2025-49557)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
根据建议升级到 Adobe Commerce/Magento Open Source 版本另见
插件详情
严重性: High
ID: 261776
文件名: adobe_commerce_apsb25-71.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/9/9
最近更新时间: 2025/9/9
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 7.1
CVSS v2
风险因素: High
基本分数: 8.5
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N
CVSS 分数来源: CVE-2025-49557
CVSS v3
风险因素: High
基本分数: 8.7
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
漏洞信息
CPE: cpe:/a:adobe:commerce, cpe:/a:adobe:magento
补丁发布日期: 2024/10/8
漏洞发布日期: 2024/10/8
参考资料信息
CVE: CVE-2025-49554, CVE-2025-49555, CVE-2025-49556, CVE-2025-49557, CVE-2025-49558, CVE-2025-49559